デフォルトの資格情報の削除または変更

インストール後の状態では、Enterprise Server にはさまざまなデフォルトのユーザー アカウントがあり、文書化されたパスワードや明白なパスワードも存在しています。サンプルの LDAP セキュリティ構成にも同様の情報が含まれています。既知の資格情報はセキュリティ上の重大なリスクであるため、リージョンを強化するには、これらのアカウントを削除または無効化するか、少なくともパスワードを変更する必要があります。

これ以降の説明では、LDAP ベースのセキュリティを使用した ESF が、すべてのエンタープライズ サーバー インスタンス コンポーネントで使用されていることを前提としています。

MFDS のデフォルトのユーザー アカウント

MFDS では、さまざまな権限レベルのユーザー アカウントが最初にインストールされます。これらのアカウントの名前は、administratoradddeletemodifyschemaadmin です。また、SYSAD ユーザーがまだ存在しない場合は追加されます。これは、LDAP リポジトリに CAS セキュリティ データを入力するために使用される es_default_ldap*.ldf LDIF ファイルでも定義されています。これらすべてのアカウントでは、パスワードがユーザー名と同じになっています。

これらのアカウントを削除し、お客様の組織に必要な MFDS ユーザー アカウントのみを作成することを強くお勧めします。通常これは、#AllUser および #DSAdmin グループのメンバーである 1 つ以上のアカウントとなり、MFDS のフル アクセス権を持つ管理アカウント (schemaadmin と同等) になります。組織によっては、権限の少ない MFDS アカウントも必要になります。MFDS のデフォルト グループおよび権限の詳細については、製品ヘルプを参照してください。

もう 1 つの方法として、これらのアカウントのパスワードを変更してください。パスワードの変更は、不要なアカウントを無効化または削除し、既知のアカウント名を攻撃者に知られていない名前に置き換える方法よりも安全性は劣るものの、セキュリティは大幅に向上します。

MFDS の内部アカウント

MFDS では、他のエンタープライズ サーバー インスタンス コンポーネントが使用する一連のアカウントもインストールされます。このようなアカウントは、これらのコンポーネントによってデフォルトで使用され、実質的にセキュリティで保護されていない状態になります。具体的には、通信プロセスで使用される mf_cs、COBOL Web サービスおよび EJB ディプロイに使用される mf_dep、CAS で使用される mf_mdsa です。

mf_cs および mf_mdsa アカウントは、ユーザー名とパスワードを指定せずにエンタープライズ サーバー インスタンス リージョンが起動された場合にのみ使用されます。これらのアカウントを無効にし、セキュリティを強化するためにパスワードも変更し、常に資格情報を使用してリージョンを起動することをお勧めします。

mf_dep アカウントは mfdepinst プログラムによって使用されます。このプログラムは、COBOL Web サービスおよび EJB を CAR ファイルからエンタープライズ サーバー リージョンにインストールします。mfdepinst は MFDS に接続し、インストール プロセスの一部としてサービスおよびパッケージ オブジェクトを追加する必要があり、デフォルトでは、mf_dep アカウントを使用します。.mfdeploy ファイルまたは mfdepinst コマンド ラインでは、さまざまな資格情報を指定できます。COBOL Web サービスまたは EJB を使用していない場合は、このアカウントを無効にするか、必要に応じてパスワードを変更することをお勧めします。これにより、適切な資格情報が提供されない限り、mfdepinst を使用してサービスおよびパッケージ オブジェクトを作成することもできなくなります。

注: Enterprise Server には、MFDS のデフォルト アカウントの定義を含む cci-users.dat という名前のファイルがあります。このファイルは、MFDS 内部セキュリティの初期ユーザー セットを作成するためにのみ使用されます。無視できます。

CAS のデフォルトのユーザー アカウント

Enterprise Server の LDAP ベースのセキュリティは、通常、製品に付属する es_default_ldap* LDIF ファイルの 1 つを使用して初期化されます。これらのファイルにより、次のサンプルのユーザー アカウントがインストールされます。mfuser (パスワードなし)、SAFU (パスワード「test」)、SAFUIMS (パスワード「test」)、SYSAD (パスワード「SYSAD」) です。デフォルトの MFDS ユーザー アカウントと同様に、これらは削除または無効化し、必要に応じてお客様の組織に適したアカウントを作成する必要があります。SYSAD は、管理アカウントとして用意されているものであり、他の管理者を作成するためのテンプレートとして使用できます。

これらのアカウントの削除を実施できない場合は、パスワードを変更してください。

mfuser アカウントは特別な役割を果たします。これは、ESMAC のデフォルト ユーザーであり、リージョンの起動および停止時に資格情報が提供されない場合に使用される、リージョンの起動およびシャットダウン用のデフォルト ユーザーです。mfuser アカウントのパスワードを設定することを強くお勧めします。

ESMAC への匿名アクセスを無効にするには、追加の手順が必要です。詳細については、「管理アクセスの制限」を参照してください。ESMAC への匿名アクセスを無効にすることを強くお勧めします。

CAS システム アカウント

CAS でも、ユーザーによる直接的な使用を意図していないシステム アカウントがインストールされて使用されます。具体的には次のとおりです。

CICSUSER、IMSUSER、および JESUSER
これらは、メインフレーム サブシステム用のデフォルト アカウントです。これらのアカウントは、実行中のタスクに明示的なユーザー アカウントが関連付けられていない場合に実行されるセキュリティ チェックに使用されます。たとえば、CICSUSER は、ユーザーが CICS にサインインしていない場合に適用されます。デフォルトでは、これらのアカウントにはパスワードがありません。ユーザーがこれらのアカウントを使用してサインオンできないように、パスワードを設定する必要があります。ES_USR_DFLT_CICS などの環境変数を使用して、アカウントの名前を変更することもできます。通常、これはエンタープライズ サーバー リージョンの [Configuration Information] フィールドの [ES-Environment] セクションで設定します。
mfuser
前のセクションで説明したとおりです。このアカウントを削除または無効化するか、パスワードを割り当ててください。
PLTPISUR
PLT (エンタープライズ サーバー リージョンの起動/シャットダウン) 処理時に使用されます。このアカウントには「PLTPISUR」というパスワードがあり、変更する必要があります。
上位ヘルプ: エンタープライズ サーバー リージョンの強化